O HP Wolf Security Threat Insights Report , de Setembro de 2025, revela como os cibercriminosos refinam técnicas de ataque para contornar as defesas tradicionais. O estudo, referente ao segundo trimestre de 2025, destaca a crescente utilização de métodos Living-off-the-land (LOTL) e iscos de engenharia social ultrarrealistas, como falsos documentos PDF, para comprometer sistemas.
A análise da HP, baseada em dados recolhidos através da sua plataforma Wolf Security, revela que os atacantes não criam necessariamente novas ferramentas, mas aprimoram o encadeamento de binários legítimos do sistema para ocultar a sua atividade. Esta abordagem torna a distinção entre operações maliciosas e legítimas um desafio significativo para as equipas de segurança.
A evolução das táticas de ataque, segundo o relatório da HP
O relatório HP Wolf Security identifica várias campanhas que exemplificam a criatividade e adaptabilidade dos agentes de ameaça. Entre as técnicas observadas, destacam-se:
- Engenharia social com PDF falsos: Uma campanha direcionada a regiões de língua alemã utilizou um ficheiro que simulava um documento Adobe Acrobat Reader, com uma falsa barra de carregamento. O ficheiro continha uma pequena imagem SVG que, ao ser aberta, executava um shell reverso, concedendo controlo do dispositivo à vítima.
- Ocultação de malware em imagens: Os atacantes esconderam código malicioso nos pixels de ficheiros de imagem dentro de documentos Microsoft Compiled HTML Help. Esta técnica permitiu extrair e executar o malware XWorm numa cadeia de infeção multifásica que utilizava ferramentas do próprio sistema operativo.
- Ressurgimento do Lumma Stealer: Este malware, focado no roubo de informação, foi uma das famílias mais ativas no período analisado. A sua distribuição ocorreu através de ficheiros de imagem de disco (IMG), que exploram funcionalidades legítimas do sistema para evitar filtros de segurança.
Segundo Alex Holland, investigador principal de ameaças do HP Security Lab, “os atacantes não reinventam a roda, mas aperfeiçoam as suas técnicas“. O especialista afirma que o encadeamento de mais ferramentas LOTL e o uso de tipos de ficheiros menos comuns visam contornar a deteção de forma eficaz.
Principais vetores de infeção detalhados no relatório
Os dados recolhidos entre abril e junho de 2025 mostram tendências claras nos métodos de entrega de ameaças:
| Tipo de Vetor | Prevalência | Nota Adicional |
| Ficheiros de Arquivo | 40% | Ficheiros .rar continuam a ser populares (26%), explorando a confiança no software WinRAR. |
| Executáveis e Scripts | 35% | Utilização direta de ficheiros maliciosos ou scripts para iniciar a infeção. |
| Bypass de Gateways | 13% | Pelo menos 13% das ameaças por email contornaram um ou mais scanners de segurança perimetral. |
O desafio da deteção para as equipas de segurança
A principal dificuldade imposta por estas táticas reside na sua natureza evasiva. O Dr. Ian Pratt, diretor global de segurança para sistemas pessoais da HP Inc., comenta que “as técnicas living-off-the-land são notoriamente difíceis para as equipas de segurança, porque é difícil distinguir sinais verdes de sinais vermelhos”.
Esta ambiguidade coloca as organizações perante um dilema: bloquear processos que podem ser legítimos, causando disrupção, ou arriscar que uma ameaça passe despercebida. Para o Dr. Pratt, a solução passa por uma defesa em profundidade, com contenção e isolamento, para intercetar os ataques que inevitavelmente falham a deteção.
Conclusão
O relatório da HP reforça que o panorama de ameaças se define mais pela adaptação e refinamento de métodos existentes do que pela inovação disruptiva. A crescente sofisticação de ciberataques, combinada com a utilização de ferramentas legítimas do sistema, exige que as organizações adotem estratégias de segurança que não dependam exclusivamente da deteção, mas que isolem as ameaças para mitigar o seu impacto antes que causem danos.
Em Resumo
- Cibercriminosos refinam técnicas
Living-off-the-land (LOTL)para evitar a deteção. - Iscos de phishing ultrarrealistas, como falsos documentos PDF, são usados para iniciar infeções.
- Ficheiros de arquivo (.rar, .zip) representam o vetor de ataque mais comum, com 40% das ocorrências.
- A HP recomenda uma arquitetura de segurança baseada em isolamento para conter ameaças que contornam as ferramentas de deteção.
Perguntas Frequentes (FAQ)
O que é um ataque Living-off-the-land (LOTL)?
É uma técnica de ciberataque na qual os criminosos utilizam ferramentas e funcionalidades legítimas, já presentes no sistema operativo da vítima (como PowerShell ou WMI), para executar as suas ações. Esta abordagem dificulta a deteção, pois a atividade maliciosa confunde-se com o funcionamento normal do sistema.
Como pode uma empresa proteger-se destas ameaças avançadas?
É fundamental adotar uma estratégia de “defesa em profundidade”. Além das ferramentas de deteção tradicionais (antivírus, firewall), recomenda-se o uso de tecnologias de isolamento de ameaças (sandboxing), que executam ficheiros e processos suspeitos num ambiente contido, impedindo que causem danos ao sistema principal.
Onde posso consultar o relatório completo da HP?
O relatório completo, intitulado “HP Wolf Security Threat Insights Report”, está disponível para consulta no blog oficial de Investigação de Ameaças da HP.
Outros artigos interessantes:
